L'Agenzia per la Cybersicurezza Nazionale (ACN) introduce nuove linee guida per l'accreditamento dei servizi cloud destinati alla pubblica amministrazione (PA). Questa mossa segna il passaggio da un regime transitorio a uno ordinario, con l'obiettivo di garantire che i fornitori di servizi cloud rispettino standard di sicurezza adeguati alla sensibilità dei dati trattati. La classificazione dei dati in ordinari, critici e strategici detta il livello di qualificazione richiesto, che va da QC1 a QC4 per i servizi e da I1 a I4 per le infrastrutture.
Le implicazioni sono significative: ogni servizio offerto alla PA deve ottenere una qualificazione specifica, e le autodichiarazioni mendaci possono portare a conseguenze penali. Il ruolo di ACN è cruciale, non solo per la verifica iniziale delle qualificazioni, ma anche per controlli periodici che garantiscono il mantenimento degli standard. L'agenzia, infatti, può revocare le certificazioni se le misure di sicurezza non vengono rispettate.
La normativa non si applica ai servizi cloud offerti ai privati, ma coinvolge direttamente le aziende che trattano dati della PA. Queste devono assicurarsi che i fornitori rispettino i requisiti di sicurezza, pena la responsabilità diretta in caso di violazioni. Con l'entrata in vigore del nuovo regolamento, il panorama della sicurezza informatica nel settore pubblico italiano si prepara a un'evoluzione significativa, con ACN al centro come garante e supervisore.
In questa Puntata
Le nuove linee guida per il cloud pubblico in Italia: un cambiamento epocale o solo un altro obbligo burocratico?